Gardez un œil sur vos configurations et optez pour une remédiation automatisée en cas de changements indésirables. Des conseils d’hygiène basiques que Proofpoint rappelait début janvier dans le cadre d’un focus sur la manipulation MFA.
L’éditeur donnait l’exemple d’une grande entreprise d’immobilier confrontée à cette technique d’attaque. Le point d’entrée : son contrôleur financier. Celui-ci s’est fait intercepter ses authentifiants Microsoft 365… et un cookie de session.
Avec ces éléments, les attaquants se sont connectés à la page de paramétrage des facteurs d’authentification et y en ont ajouté un – en l’occurrence, une application avec jeton TOTP et validation par notification. Le principe même de la manipulation MFA.
Proofpoint vient à nouveau d’attirer l’attention sur cette technique, dans le cadre d’une campagne qu’il dit avoir détectée fin novembre. Encore en cours, elle « a touché des environnements cloud Azure », pour reprendre les termes employés.
Dans la pratique, l’éditeur concentre sa démonstration sur l’accès à des applications Microsoft 365. Le vecteur initial : du phishing individualisé reposant sur des documents partagés – notamment par insertion de liens malveillants. L’éventail des cibles (plusieurs centaines de comptes) s’étend jusqu’à des cadres dirigeants.
Les applications ciblées incluent la messagerie Exchange, aussi bien pour exfiltrer des données que pour latéraliser à renfort d’e-mails frauduleux. Elles incluent aussi la fameuse page de paramétrage des facteurs d’authentification… Proofpoint a recensé des ajouts de numéros de téléphone, mais surtout d’applications d’authentification.
La manipulation MFA s’est assortie d’abus OAuth, au sens de l’usage d’une application tierce pour voler des données, diffuser des malwares… et obtenir une forme d’accès persistant.
À consulter en complément :
Baromètre CESIN : comment évolue la protection cyber des entreprises ?
Compte X de la SEC piraté : le MFA était désactivé…
Les axes d’amélioration des solutions MFA et SSO
Le synchronisation cloud des codes MFA pointée du doigt
Gestion des identités dans le cloud : trois retours d’expérience
Illustration © blackboard – Adobe Stock
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…
Un groupe de banques et de créanciers obligataires ont accepté le financement du plan de…